Перехват заголовков HTTP-запросов браузера

Тема в разделе "WASM.RESEARCH", создана пользователем Rel, 30 сен 2019.

  1. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    понакидайте идей... в общем нужен какой-то универсальный способ программно перехватить и проанализировать HTTP-заголовки, которые отсылаются произвольным браузером, когда пользователь ходит на сайт... венда, права пользовательские, от них же запущены процессы браузера... как бы понятно, что можно заинжектиться и похукать send или что-нить из wininet'а, но хотелось бы как-то обойтись без инжектов... нужны альтернативные варианты... можно как-то с пользовательскими правами мониторить HTTP-запросы (все или конкретных процессов)? спасибо!
     
  2. Bedolaga

    Bedolaga Member

    Публикаций:
    0
    Регистрация:
    10 июл 2019
    Сообщения:
    131
    Странный вопрос....
     
  3. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    988
    на уровне бреда...
    может проще будет обертку процесса родителя и что-то типа reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d (1 вкл 0 выкл) /f
    а из wireshark парсеры дернуть ??
     
  4. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.954
    Вайршарк через winpcap трафик получает.
     
  5. ormoulu

    ormoulu Well-Known Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    1.208
    ТС, вы уверены, что именно http? Сейчас какбэ везде https, а в этом случае вам и перехват send не поможет.
     
  6. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    988
    обложить строку константным заголовком и будет файл :)
     
  7. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.954
    Не понял ничего. Библиотека winpcap аж драйвер свой регистрирует (не знаю ndis не ndis, но так-то это жестковато для пользовательских прав). Проблема-то в первую очередь в том чтобы получить эти заголовки, хрен с ним с парсом.
     
  8. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    именно, распарсить не проблема...
     
  9. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    Rel, wininet можно логировать через ETW .
    Еще посмотрите в сторону Fiddler, он вроде как прописывает себя как локальный прокси, и все браузеры идут через него. Правда, с сертами могут быть траблы.
     
  10. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    это будет работать только от админа же? или юзером тоже можно как-то подписаться на события?
     
  11. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    Rel, вот это не знаю, реально. Вроде какие-то вещи там только от админа. А повысится никак не вариант?
     
  12. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    спалиться боюсь, я же не "узбекский боевой хакер")...
     
  13. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    Rel, посмотрите в сторону прописывания прокси. Но опять же, не знаю как там с правами (и с https придется заморочится). Просто хз какие еще варианты, большинство ведь юзают инжекты для таких целей.
    --- Сообщение объединено, 4 окт 2019 ---
    На эксплойте продают что-то такое https://forum.exploit.in/topic/162545/ , но автор не раскрывает секретов. Пишет, что с правами обычного юзера.